„WoXoTo Ransomware“ užrakina aukų sistemas

Analizuodami naujus kenkėjiškų programų pavyzdžius, aptikome naują Xorist šeimos papildymą, žinomą kaip WoXoTo. WoXoTo veikia kaip išpirkos reikalaujanti programinė įranga, kenkėjiška programinė įranga, skirta failams užšifruoti. Be to, WoXoTo sugeneruoja dvi išpirkos kupiūras – sukuria failą „HOIP TO DECRYPT FILES.txt“ ir parodo iššokantįjį pranešimą. Be to, ji pakeičia failų pavadinimus pridėdama plėtinį ".WoXoTo".

Išpirkos raštelyje aukai pranešama, kad jų failai buvo užšifruoti, bet ramina nepanikuoti, tvirtinant, kad iššifruoti galima sumokėjus išpirką. Pastaboje nurodytas mokėjimo būdas – Bitcoin, o išpirkos suma nustatyta 0,02 BTC.

Pabrėždamas tikslumo svarbą, raštelyje nurodoma nukentėjusiajam patvirtinti teisingą mokėjimo Bitcoin adresą, kuris yra nurodytas raštelyje. Po apmokėjimo auka nukreipiama susisiekti su nusikaltėliais elektroniniu paštu woxoto@tuta.io, naudojant nurodytą temos eilutę. Patvirtinus mokėjimą, užpuolikai įsipareigoja pateikti mokymo programą ir iššifravimo raktus, kad būtų galima atrakinti užšifruotus failus.

WoXoTo Ransom Note reikalauja sumokėti Bitcoin

Visas WoXoTo išpirkos rašto tekstas skamba taip:

Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.

Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.com

A list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchanges

Make sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq

After sending, contact us at this email address: woxoto@tuta.io
With this subject: -

After confirming the payment, you will receive a tutorial and the keys for decrypting the files.

Kaip išpirkos reikalaujančios programos yra panašios į WoXoTo?

Išpirkos reikalaujančios programos, įskaitant WoXoTo, paprastai platinamos įvairiais būdais, kurie išnaudoja sistemų pažeidžiamumą arba apgaudinėja vartotojus, kad jie netyčia įdiegtų kenkėjišką programinę įrangą. Nors konkretūs platinimo metodai gali skirtis, yra bendrų bruožų, kaip išpirkos reikalaujančios programos, įskaitant WoXoTo, yra platinamos:

Sukčiavimo el. laiškai:
Ransomware dažnai plinta per sukčiavimo el. laiškus, kuriuose yra kenkėjiškų priedų ar nuorodų. Šie el. laiškai gali atrodyti teisėti, viliojantys gavėjus spustelėti nuorodas arba atidaryti priedus, todėl bus įdiegta išpirkos reikalaujanti programa.

Kenkėjiškos nuorodos:
Kibernetiniai nusikaltėliai gali naudoti sukčiavimo svetaines arba pažeistas teisėtas svetaines, kad platintų išpirkos reikalaujančias programas. Vartotojai gali nesąmoningai apsilankyti šiose svetainėse, suaktyvindami kenkėjiško kodo atsisiuntimą ir vykdymą.

Išnaudojimo rinkiniai:
Išpirkos reikalaujančios programos gali būti platinamos naudojant išnaudojimo rinkinius, skirtus programinės įrangos ar operacinių sistemų pažeidžiamumui. Kai vartotojas apsilanko pažeistoje svetainėje, išnaudojimo rinkinys nuskaito pažeidžiamumą ir pateikia išpirkos reikalaujančią programinę įrangą.

Klaidinga reklama:
Kenkėjiški skelbimai (kenksminga reklama) teisėtose svetainėse gali nukreipti vartotojus į svetaines, kuriose yra išpirkos reikalaujančios programos. Spustelėjus šiuos skelbimus gali būti pradėtas kenkėjiško kodo atsisiuntimas ir vykdymas.

Laistymo angos atakos:
Kibernetiniai nusikaltėliai gali pažeisti svetaines, kuriose dažnai lankosi tam tikra tikslinė grupė (pvz., konkrečios organizacijos darbuotojai). Kai naudotojai iš tikslinės grupės lankosi šiose pažeistose svetainėse, jie gali netyčia atsisiųsti išpirkos reikalaujančių programų.

„Drive-by“ atsisiuntimai:
Išpirkos reikalaujančios programos gali būti pristatomos naudojant tiesioginius atsisiuntimus, kai kenkėjiška programa automatiškai atsisiunčiama ir vykdoma, kai vartotojas apsilanko pažeistoje ar kenkėjiškoje svetainėje be jokio vartotojo sąveikos.